Récemment, des clients m'ont demandé : quel CDN à haute défense utilisez-vous, et celui de Huawei Cloud est-il correct ? Pour être honnête, de nos jours, même les CDN doivent "empêcher les coéquipiers" - certains fournisseurs de services parlent d'"accélération globale", les attaques CC réelles retournent directement à la source, ce n'est pas une fosse ?
Le mois dernier, notre équipe a mis à jour l'architecture de sécurité, et j'ai sorti le Huawei Cloud high-defence CDN, l'ancien CDN5 de l'industrie, et le CDN07, qui se concentre sur les pays d'outre-mer, et je les ai tous testés à tour de rôle. La méthode de test est très simple et rudimentaire : il s'agit de déverser un trafic mixte directement sur le nom de domaine de test pour voir lequel peut supporter le scénario d'attaque réel.
Lancez d'abord des conclusions :Cette solution Huawei Cloud est vraiment à la hauteur de l'expression "classe entreprise" dans les trois dimensions essentielles que sont la qualité des nœuds, la précision de la défense et la stabilité. Mais ne vous empressez pas de débourser de l'argent, il y a quelques pièges que vous devez connaître à l'avance.
L'environnement de test a été construit avec trois ensembles d'architectures : Huawei Cloud high defence CDN, WAF acceleration package of CDN5, et Asia-Pacific preferred line of CDN07. Chaque ensemble de configuration comprend 10 pages principales, y compris des API dynamiques et des ressources statiques, avec LoaderRunner simulant un trafic normal de 500 QPS + un trafic d'attaque de 200 QPS, des demandes mixtes, des tests de pression continus pendant 6 heures.
Le premier tour de mesure de la couverture des nœuds. Huawei Cloud annonce officiellement plus de 2800 nœuds, j'ai en fait utilisé la commande Dig pour analyser le nombre de nœuds qui peuvent être atteints : 137 (Asie-Pacifique), comparé aux 89 de CDN5 et aux 211 de CDN07, le nombre de nœuds se situant dans la moyenne. J'ai choisi spécifiquement le pic du soir en utilisant MTR pour tracer l'itinéraire, et j'ai constaté que les sauts du nœud de Hong Kong de Huawei Cloud sont contrôlés à moins de 5 sauts, et que le nœud de Los Angeles se trouve sur l'itinéraire CN2 GIA. Au contraire, bien que CDN07 ait de nombreux nœuds, la latence de certains nœuds d'Asie du Sud-Est a grimpé à plus de 380 ms.
Voici un détail qui mérite d'être souligné : les nœuds périphériques de Huawei Cloud optimisent la pile TCP. J'ai saisi un paquet et j'ai vu qu'ils ont modifié les paramètres du noyau, le nombre de retransmissions SYN a été réduit de 5 fois par défaut à 3 fois, et le temps de récupération de l'état TIME_WAIT a été compressé à 1 seconde. Ne sous-estimez pas ce changement, lorsque vous rencontrez une attaque SYN Flood, le pool de connexions ne sera pas occupé, le test actuel peut transporter 3000 paquets malformés de plus par seconde.
L'attaque CC a déclenché une vérification humaine, mais la logique de vérification est un peu intéressante : le même appareil ne fera pas apparaître le code de vérification à nouveau dans les 24 heures suivant la première vérification, mais utilisera le moteur d'analyse comportementale pour effectuer une vérification silencieuse. J'ai pris Selenium pour simuler le comportement du navigateur, jusqu'à ce que la 17ème requête déclenche à nouveau la vérification, puis CDN5 toutes les 5 fois pour vérifier que l'expérience est trop bonne.
La chose la plus étonnante est la protection contre les attaques lentes. Huawei Cloud a pris l'initiative d'étouffer la connexion lente 15 secondes après l'établissement de la connexion, et a également envoyé automatiquement un paquet RST au client. Plus tard, j'ai vérifié les documents et j'ai découvert qu'ils utilisaient l'algorithme SMP (Slow Attack Mitigation) qu'ils ont eux-mêmes développé et qui, même chez Cloudflare, est une fonction plug-in payante.
L'affichage des règles de protection configurées pour le segment, c'est la vraie affaire :
J'ai joué un peu les trouble-fêtes lors de la session de test de stabilité en simulant la gigue du réseau régional. ChaosMesh a été utilisé pour injecter 30% de perte de paquets dans les nœuds de test pendant 10 minutes. 3 nœuds dans CDN5 ont été mis hors ligne directement, et CDN07 a déclenché un équilibrage de charge global, mais la commutation a pris 47 secondes. Bien que Huawei Cloud ait également eu 2 nœuds avec une réponse lente, le système de planification intelligent a coupé le trafic vers le nœud de Tokyo en 12 secondes, et l'utilisateur n'en a pas été conscient.
Bien sûr, il n'est pas parfait. Deux problèmes ont été constatés : premièrement, le processus d'enregistrement des nœuds nationaux est très fastidieux, il faut remplir un tas d'engagements et attendre trois jours ouvrables pour les examiner ; deuxièmement, le temps de latence du système de journalisation est élevé, les journaux d'attaques doivent attendre 5 à 10 minutes pour être consultés, ce qui n'est pas aussi bien que les journaux en temps réel du flux de 08Host.
Le prix de Huawei Cloud appartient à la catégorie "viande douloureuse mais peut sauver des vies". L'offre de base commence à 20 000 euros par mois, soit 40% de plus que CDN5, mais 20% de moins que CDN07. L'essentiel, c'est qu'il n'y a pas de frais pour le trafic de nettoyage excédentaire ! Les frais de nettoyage de certains fournisseurs sont plus élevés que ceux de l'offre principale, mais l'argument de Huawei Cloud est vrai.
Une dernière remarque pour offenser : ne croyez pas à toutes ces conneries de "défense illimitée". Si vous êtes réellement confronté à un DDoS de 800G ou plus, n'importe quel fournisseur vous entraînera dans un trou noir. L'avantage de Huawei Cloud est que ses algorithmes de défense sont plus intelligents, identifiant et atténuant les attaques à un stade précoce, plutôt que de s'appuyer uniquement sur la bande passante.
Si votre entreprise se trouve dans la région Asie-Pacifique et que vous devez concilier accélération et sécurité, Huawei Cloud High Defence CDN vaut vraiment la peine d'être essayé. Mais n'oubliez pas de préparer votre numéro d'enregistrement à l'avance et d'extraire les journaux critiques pour les stocker localement - leur période de conservation des journaux n'est que de 30 jours, ce qui est assez pitoyable.
J'ai rassemblé les données de test dans Excel. Si vous avez besoin de données détaillées, vous pouvez m'envoyer un courriel en privé. Il ne faut jamais s'attendre à ce qu'un seul fournisseur puisse tout faire, une défense à plusieurs niveaux est la meilleure façon de procéder.
